SapphireStealer Malware

Viaceré skupiny využívajú open source malvér na zhromažďovanie informácií s názvom SapphireStealer, ktorý je postavený na .NET frameworku, aby posilnil svoje schopnosti a vytvoril prispôsobené verzie. Odborníci na kybernetickú bezpečnosť odhaľujú, že malvér na zhromažďovanie informácií, akým je napríklad SapphireStealer, sa používa na získavanie dôležitých údajov vrátane firemných prihlasovacích údajov. Tieto neoprávnene získané poverenia sa často predávajú iným zle zmýšľajúcim aktérom, ktorí ich zneužívajú na spustenie ďalších útokov, od špionáže po ransomvér a vydieračské operácie.

Tento typ malvéru nielenže znamená pokrok v modeli kyberzločinu ako služby (CaaS), ale poskytuje aj príležitosti pre ďalších aktérov súvisiacich s podvodmi, aby profitovali z ukradnutých údajov uľahčením distribúcie ransomvéru, krádežou údajov a zapojením sa do v rôznych iných hanebných kybernetických aktivitách.

SapphireStealer zachytáva rôzne citlivé informácie z kompromitovaných zariadení

SapphireStealer, malvér na zhromažďovanie informácií založený na .NET, disponuje priamou, ale účinnou sadou funkcií navrhnutých na extrahovanie citlivých údajov z napadnutých systémov. Medzi jeho schopnosti patrí:

• • Zhromažďovanie informácií o hostiteľovi.

• • Snímanie snímok obrazovky.

• • Zhromažďujú sa poverenia prehliadača uložené vo vyrovnávacej pamäti.

• • Identifikácia a zacielenie konkrétnych súborov v infikovanom systéme na základe preddefinovaných prípon súborov.

Malvér pri prvom spustení skontroluje prítomnosť všetkých aktívnych procesov prehliadača v systéme. Prehľadáva zoznam aktuálne spustených procesov a hľadá zhody s nasledujúcimi názvami procesov: chrome, yandex, msedge a Opera. Ak sa nájdu nejaké zodpovedajúce procesy, malvér na ich ukončenie použije metódu Process.Kill().

Okrem toho malvér využíva pevne zakódovaný zoznam ciest k súborom na zistenie existencie databáz poverení spojených s približne 15 rôznymi webovými prehliadačmi vrátane Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browser a ďalších.

Následne sa SapphireStealer snaží zachytiť snímku obrazovky z napadnutého systému a uložiť ju do rovnakého pracovného adresára pod názvom 'Screenshot.png.' Na rozšírenie úsilia o zhromažďovanie údajov malvér spustí komponent na zachytávanie súborov, ktorého cieľom je nájsť súbory v priečinku pracovnej plochy obete, ktoré zodpovedajú preddefinovanému zoznamu prípon súborov.

Nakoniec sa ukradnuté údaje prenesú útočníkovi prostredníctvom protokolu SMTP (Simple Mail Transfer Protocol), pričom požadované prihlasovacie údaje sú špecifikované v kóde zodpovednom za zostavenie a odoslanie správy.

Kyberzločinci aktívne vyvíjajú varianty SapphireStealer

SapphireStealer sa podobá mnohým iným kmeňom škodlivého softvéru na zhromažďovanie údajov, ktoré sa na temnom webe stávajú čoraz rozšírenejšími. Čo ho však odlišuje, je skutočnosť, že jeho zdrojový kód bol otvorene bezplatne uvoľnený koncom decembra 2022. To umožnilo aktérom súvisiacim s podvodmi experimentovať s malvérom, čo značne sťažilo jeho odhalenie. V dôsledku toho zaviedli adaptabilné metódy exfiltrácie údajov, ako je využitie webhooku Discord alebo Telegram API.

Vo voľnej prírode sa už objavilo množstvo variácií tejto hrozby, pričom aktéri hrozieb neustále zdokonaľujú svoju účinnosť a efektívnosť v priebehu času.

Okrem toho autor malvéru zverejnil .NET malware downloader s kódovým označením FUD-Loader, ktorý umožňuje získavanie dodatočných binárnych dát zo serverov kontrolovaných útočníkmi. Tento downloader už bol pozorovaný v akcii a prináša hrozby Remote Access Trojan (RAT), ako sú DCRat, njRAT , DarkComet a Agent Tesla .